Exportieren (0) Drucken
Alle erweitern
Erweitern Minimieren

Echtzeitsperrlisten in Exchange Server 2003

 

Letztes Änderungsdatum des Themas: 2006-01-11

In einem früheren Exchange Insider-Artikel, Introduction to Exchange Server 2003 ESM Features - Part 2 (Seite in englischer Sprache), wurde das Feature "Echtzeitsperrliste" (Real-Time Block List, RBL) erwähnt. Der vorliegende Artikel enthält zusätzliche Informationen zur Echtzeitsperrliste und deren Einsatzmöglichkeiten. Viele dieser Informationen sind aus dem Handbuch "Microsoft Exchange Server 2003 – Erste Schritte" sowie aus den Quellen übernommen, auf die im Abschnitt "Weitere Informationen" verwiesen wird.

Die Echtzeitsperrliste (Real-Time Block Liste, RBL) wurde als neues Feature in Microsoft® Exchange Server 2003 eingeführt. Es handelt sich dabei um ein Tool, mit dem der Zustrom unerwünschter kommerzieller E-Mail-Nachrichten (Unsolicited Commercial E-mail, UCE) in Benutzerpostfächern verhindert werden soll. Echtzeitsperrlisten werden von externen Quellen bereitgestellt, die bekannte UCE-Quellen (auch als "Spam" bezeichnet) verfolgen und oft DFÜ-Benutzerkonten enthalten. DFÜ-Benutzer sollten SMTP-Datenverkehr (Simple Mail Transfer Protocol) von Ihrem Server nicht weiterleiten. Eine oft am Rand oder auf dem ersten Hop des eingehenden Stroms von SMTP-Datenverkehr bereitgestellte Echtzeitsperrliste kann das Senden von UCE aus bekannten UCE-Quellen an Ihre Domäne und damit an Ihre Benutzer effektiv verhindern.

Lesen Sie im Folgenden Antworten auf häufig gestellte Fragen.

Bei der Echtzeitsperrliste handelt es sich um ein einziges Tool zur Bekämpfung von UCE. Wenn die Echtzeitsperrliste zusammen mit anderen Tools wie der Inhaltsfilterung eingesetzt wird, kann sie verhindern, dass UCE an Benutzerpostfächer gesendet wird. Diese Technologie schützt Ihre Benutzer jedoch dadurch, dass sie E-Mail-Nachrichten absichtlich verloren gehen lässt, indem die Annahme aus einer bekannten UCE-Quelle verweigert wird.

Wie kann von diesen Listen ermittelt werden, ob es sich bei einer bestimmten Domäne um eine UCE-Quelle oder ein offenes Relay handelt? Die Antwort hängt von vielen Faktoren ab. Bei einigen Listen werden Hosts aktiv über Netzblöcke gescannt, um ein offenes Relay zu finden. Neben anderen Firmen führt die kalifornische Firma Mail Abuse Prevention System LLC (MAPS) proaktive Angriffe durch. Außerdem werden dort Hinweise von Internetbenutzern entgegengenommen, die eine Domäne als UCE-Quelle oder offenes Relay melden Einige Listen führen beide Verfahren aus, während andere ausschließlich auf Benutzereingaben basieren, z. B. Meldungen oder Scans von Abonnenten. Die Genauigkeit beruht also oft auf den Meinungen der Personen, die die Listen verwalten. Dies kann zu Problemen führen.

Weil E-Mail-Nachrichten von Hosts verweigert werden, die von Benutzern im Internet angegeben wurden, kann eine Person, die mit Ihnen oder Ihrer Domäne unzufrieden ist, Sie als UCE-Quelle oder offenes Relay melden und so einer Sperrliste hinzufügen Dies kann zu Problemen bei der Nachrichtenübermittlung zwischen Ihrem Unternehmen und tatsächlichen geschäftlichen Empfängern führen. Deshalb müssen Sie dieses Feature mit Bedacht einsetzen.

Jeder Listenanbieter verfügt über ein eigenes Verfahren zum Entfernen eines Benutzers aus der Liste. Allerdings wird er oft wesentlich schneller einer Liste hinzugefügt als daraus entfernt. Ein Beispiel für das Hinzufügen eines Servers zu einer Sperrliste wird im Microsoft Knowledge Base-Artikel 304897, "Verhalten der SMTP-Weiterleitung in Windows 2000, Windows XP und Exchange Server" wiedergegeben.

Welchen Grund gibt es, eine Echtzeitsperrliste trotz der zuvor aufgeführten Probleme zu verwenden? Weil UCE damit so wirkungsvoll bekämpft werden kann. Bei der Echtzeitsperrliste handelt es sich um eines der effektivsten Mittel gegen die Verbreitung von UCE; deshalb wird sie vielfach ungeachtet ihrer Risiken bereitgestellt. Über die Echtzeitsperrliste können Internetbenutzer bekannte UCE-Quellen melden und anschließend eine aktive Datenbank mit diesen UCE-Quellen führen.

Exchange Server 2003 unterstützt eine auf Echtzeitsperrlisten basierende Verbindungsfilterung. Dieses Feature ermöglicht Ihnen das Abgleichen einer eingehenden IP-Adresse (Internet Protocol) anhand der Liste eines Echtzeitsperrlistenanbieters mit den Kategorien, nach denen gefiltert werden soll. Wenn in der Liste eines solchen Anbieters eine entsprechende IP-Adresse gefunden wird, gibt SMTP als Antwort auf den Befehl RCPT TO den Fehler 550 5.x.x aus. An den Absender wird eine benutzerdefinierte Antwort auf den Fehler ausgegeben. Sie können mehrere Verbindungsfilter verwenden und die Anwendungsreihenfolge dieser Filter festlegen.

Beim Erstellen eines Verbindungsfilters richten Sie eine Regel ein. Mithilfe dieser Regel führt SMTP eine DNS-Suche (Domain Name System) in einer Liste durch, die von einem Echtzeitsperrlistendienst eines Drittanbieters bereitgestellt wird. Der Verbindungsfilter gleicht jede eingehende IP-Adresse mit den Ressourcen in der Sperrliste des Drittanbieters ab. Der Echtzeitsperrlistenanbieter gibt eine der beiden folgenden Antworten aus:

  • Host wurde nicht gefunden   Zeigt an, dass die IP-Adresse in der Sperrliste nicht enthalten ist.
  • 127.0.0.x   Dieser Antwortstatuscode zeigt an, dass für die IP-Adresse eine Übereinstimmung in der Liste der Verstöße gefunden wurde. Der Wert von x kann je nach Anbieter variieren.

Wenn sich die eingehende IP-Adresse in der Liste befindet, gibt SMTP auf den Befehl RCPT TO den Fehler 5.x.x zurück. Dieser SMTP-Befehl wird durch den verbindenden Server ausgegeben, um den angegebenen Nachrichtenempfänger zu identifizieren.

Die an den Absender zurückgegebene Antwort kann angepasst werden. Da die Echtzeitsperrlistenanbieter in der Regel unterschiedliche Kategorien für Verstöße festlegen, können Sie zusätzlich die Arten von Übereinstimmungen angeben, die abgelehnt werden sollen. Die meisten Echtzeitsperrlistenanbieter filtern nach drei Verstoßtypen:

  • Quellen unerwünschter kommerzieller E-Mail-Nachrichten   Diese Listen werden erstellt, indem nach unerwünschten kommerziellen E-Mail-Nachrichten gefiltert und die Quelladressen der Liste hinzugefügt werden.
  • Bekannte Server für offenes Relay   Diese Listen werden erstellt, indem das Internet nach SMTP-Servern für offenes Relay durchsucht wird. Die häufigste Ursache für einen Server für offenes Relay ist eine falsche Konfiguration durch den Systemadministrator.
  • DFÜ-Benutzerlisten   Diese Listen werden entweder aus Quellenlisten von Internetdienstanbietern (Internet Service Provider, ISP) erstellt, die IP-Adressen mit DFÜ-Zugriff enthalten, oder durch die Prüfung von Adressen mit wahrscheinlicher DFÜ-Verbindung.

So erstellen Sie einen Verbindungsfilter
  1. Klicken Sie auf Start, zeigen Sie auf Programme, anschließend auf Microsoft Exchange, und klicken Sie dann auf System-Manager.

  2. Erweitern Sie den Container Globale Einstellungen, klicken Sie mit der rechten Maustaste auf das Objekt Nachrichtenübermittlung, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Verbindungsfilterung.

  4. Klicken Sie auf Hinzufügen, um eine Verbindungsfilterregel zu erstellen.

  5. Geben Sie in Anzeigename einen Namen für den Verbindungsfilter ein.

  6. Geben Sie in DNS-Suffix des Anbieters das DNS-Suffix des Anbieters ein, z. B. contoso.com.

  7. Geben Sie in Benutzerdefinierte Fehlermeldung für Rückgabe ggf. eine benutzerdefinierte Fehlermeldung ein, die an den Absender zurückgegeben werden soll. Lassen Sie dieses Feld leer, wenn die folgende Standardfehlermeldung verwendet werden soll:

         <IP-Adresse> wurde blockiert von <Name der Verbindungsfilterregel>

    Eine benutzerdefinierte Meldung kann mithilfe der folgenden Variablen erstellt werden:

         %0 – IP-Adresse der Verbindung

         %1 – Regelname des Verbindungsfilters

         %2 – Echtzeitsperrlistenanbieter

    Angenommen, Ihre benutzerdefinierte Fehlermeldung soll wie folgt lauten:

    Die IP-Adresse <IP-Adresse> wurde vom folgenden Echtzeitsperrlistenanbieter gesperrt

    <Name des Echtzeitsperrlistenanbieters>

    In diesem Fall müssen Sie die folgende benutzerdefinierte Fehlermeldung eingeben:

    Die IP-Adresse %0 wurde vom Echtzeitsperrlistenanbieter %2 gesperrt.

    noteAnmerkung:
    Exchange ersetzt "%0" durch die IP-Adresse der Verbindung und "%2" durch den Echtzeitsperrlistenanbieter.
  8. Klicken Sie auf Rückgabestatuscode, um zu konfigurieren, nach welchen Rückgabestatuscodes des Echtzeitsperrlistenanbieters in diesem Verbindungsfilter gefiltert werden soll.

  9. Wählen Sie eine der folgenden Optionen aus:

    Klicken Sie auf Filterregel auf beliebigen Rückgabecode anwenden. Diese Verbindungsfilterregel wird auf jeden beliebigen Rückgabestatuscode des Anbieterdiensts angewendet. Damit wird der dem Verbindungsfilter entsprechende Standardwert auf einen beliebigen Rückgabestatus festgelegt.

    Beispiel:

    127.0.0.1 – Sperrliste

    127.0.0.2 – Bekanntes offenes Relay

    127.0.0.4 – DFÜ-IP-Adresse

    Klicken Sie auf Filterregel auf folgende Maske anwenden. Diese Verbindungsfilterregel wird auf die Rückgabestatuscodes des Anbieters angewendet, indem sie mithilfe einer Maske interpretiert werden. Geben Sie die Maske ein, mit der Sie die von den Anbietern verwendeten Masken filtern möchten.

    Beispiel:

    0000 | 0001 – Sperrliste

    0000 | 0010 – Offenes Relay

    0000 | 0011 – Offenes Relay oder Sperrliste

    0000 | 0100 – DFÜ-Host

    0000 | 0101 – DFÜ oder Sperrliste

    0000 | 0110 – DFÜ oder offenes Relay

    0000 | 0111 – DFÜ, offenes Relay oder Sperrliste

    Klicken Sie auf Filterregel auf eine der folgenden Antworten anwenden. Diese Verbindungsfilterregel wird auf die Rückgabestatuscodes des Anbieters angewendet und dabei die spezifischen Codewerte angegeben.

  10. Klicken Sie auf OK.

Nachdem Sie den Empfängerfilter erstellt haben, müssen Sie ihn auf die virtuellen SMTP-Server anwenden, auf denen der Filter eingesetzt werden soll. Gehen Sie folgendermaßen vor, um einen Empfängerfilter auf einen virtuellen SMTP-Server anzuwenden.

So wenden Sie einen Verbindungsfilter auf einen virtuellen SMTP-Server an
  1. Erweitern Sie im Exchange System-Manager nacheinander den Container Server, <Servername>,, Protokolle und schließlich den Container SMTP.

  2. Klicken Sie mit der rechten Maustaste auf den virtuellen SMTP-Server, auf den der Filter angewendet werden soll, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Registerkarte Allgemein auf die Schaltfläche Erweitert.

  4. Wählen Sie im Dialogfeld Erweitert die IP-Adresse aus, auf die der Filter angewendet werden soll, und klicken Sie dann auf Bearbeiten.

  5. Aktivieren Sie im Dialogfeld Identifikation das Kontrollkästchen Verbindungsfilter anwenden, um den zuvor festgelegten Filter anzuwenden.

  6. Wenn Sie über mehrere virtuelle Server verfügen, wiederholen Sie die Schritte 3 bis 6 für jeden virtuellen Server, auf den der Filter angewendet werden soll.

Weitere Informationen finden Sie in der folgenden Exchange Server-Ressource und den folgenden Microsoft Knowledge Base-Artikeln:

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft